(PARTE 1) Cuando una organización (pública o privada) sufre una fuga de información de algún sistema informático, es inevitable que los líderes de la misma recurran a su departamento de seguridad TI como primera instancia para ayuda forense.
La razón principal de este relación, es precisamente la fuente de almacenamiento principal de dicha información, un sistema informático. En ese sentido, los posibles vehículos de fuga posible pueden variar en un no muy gran avanico de posibilidades: los medios magnéticos (tapes), los medios de almacenamiento óptico (CD/DVD), el mismo disco duro del sistema informático, los USB-drives, y la red.
Aunque dependiendo del criterio del especialista, uno de los medios de fuga que se deben descartar primero es la red. A diferencia de un USB-drive, tape, CD o DVD, que puede ser confiscado físicamente en la portería de la organización (no obstante, de generar una ruidosa condición de pánico al personal y de alerta al “insider”), la red podría seguir siendo un medio incontrolable de fuga de información, luego del incidente. De esta forma, la red debe ser el primer medio de despistaje forense al alcance del departamento de seguridad TI.
Una forma efectiva pero -muy criticada por su factibilidad- es el despliegue de capturadores de tráfico en los cuellos de la red de la organización. Un mecanismo de captura puede ser ubicado y configurado a diferentes nivel de detalle, que un analista de protocolos puede acomodarse sin mayor problemas. Su principal detractor es el espacio de almacenamiento que requieren los equipos de captura, cuya demanda será proporcional al tráfico de la red.
Sin embargo, una forma más inteligente y económica es el despliegue de colectores de flujos (flows). Los colectores de flows pueden ser consultados luego de viajar a un sistema de base de datos, en tiempo real o hacia atrás. Ello permite al analista forense, realizar una infinita cantidad de consultas por el tráfico de la red, a fin de determinar la duracción, tamaño, y equipos que mantuvieron ciertas comunicaciones sospechosas.
Una fuga de información como la sufrida recientemente por la nación chilena, requiere -por ejemplo- de este tipo de evidencias rápidas. Viajando a través de un análisis exhaustivo de los flujos generados por las redes de las instituciones afectadas, el analista buscará el tráfico que represente la transferencia (upload o download) de semejante volumen de datos, hacia RapidShare o hacia cualquier otro lugar en la red, desde o hacia los sistemas afectados.
JaCkSecurity dispone de mecanismos para ayudarlo a preparse tempranamente para penosos e inevitables incidentes como estos. Sírvase consultarnos por estos mecanismos.
Javier Romero
JaCkSecurity, CTO
Conocimiento, Conciencia y Consultoría
